Datenschutzgesetz in Kalifornien: California Consumer Privacy Act (CCPA)

Übersicht

california_flag

Der California Consumer Privacy Act (CCPA) wurde am 28. Juni 2018 in Kraft gesetzt. Die CCPA will sicherstellen, dass die kalifornischen Verbraucher ein gewisses Maß an Datenschutzrechten haben. 

Um mehr über die CCPA zu erfahren, besuchen Sie bitte California Legislative Information.

AWS bietet Best Practices und Ressourcen an, einschließlich zweier Whitepaper – "Verwendung von AWS im Kontext häufiger Bedenken hinsichtlich Datenschutz und -sicherung" und "Vorbereitung auf das kalifornische Datenschutzgesetz (California Consumer Privacy Act, CCPA)". Wir verfügen über Servicefähigkeiten, die dazu beitragen können, die Einhaltung der Kundenanforderungen zu gewährleisten, wie z. B. das Löschen, Verschlüsseln und Überwachen der Verarbeitung auf unserer Seite AWS Service Capabilities.

Informationen darüber, wie AWS personenbezogene Daten von Kunden sammelt und verwendet, finden Sie in unserer Datenschutzerklärung und unseren FAQ zum Datenschutz.

  • Was ist der California Consumer Privacy Act (dt. das kalifornische Datenschutzgesetz, CCPA)?

    Der California Consumer Privacy Act (CCPA) ist ein von der kalifornischen Regierung beschlossener Gesetzentwurf, der am 28. Juni 2018 als Gesetz verabschiedet und am 23. September 2018 erweitert wurde. Der CCPA beabsichtigt Verbrauchern in Kalifornien die folgenden Rechte zu sichern:

    • Das Recht eines jeden kalifornischen Bürgers, zu wissen, welche persönlichen Informationen über ihn erfasst werden.
    • Das Recht eines jeden kalifornischen Bürgers, zu wissen, ob und an wen bzw. wo seine persönlichen Informationen verkauft oder veröffentlicht werden.
    • Das Recht eines jeden kalifornischen Bürgers, den Verkauf seiner persönlichen Informationen zu untersagen.
    • Das Recht eines jeden kalifornischen Bürgers, die über ihn erfassten persönlichen Informationen einzusehen.
    • Das Recht eines jeden kalifornischen Bürgers auf gleichen Service und Preis, selbst wenn er seine Datenschutzrechte in Anspruch nimmt.
  • Für wen gilt der CCPA?

    Im CCPA wird ein Geschäft/Unternehmen als eine gewinnorientierte Einrichtung definiert, die persönliche Daten von Verbrauchern erfasst. Dem CCPA können Unternehmen in Kalifornien unterliegen, auf die mindestens einer der folgenden Grenzwerte zutrifft:

    • Unternehmen mit einem Jahresumsatz ab 25.000.000 USD
    • Unternehmen, die jährlich persönliche Informationen von 50.000 oder mehr Verbrauchern, Haushalten oder Geräten zu kommerziellen Zwecken kaufen, erhalten, verkaufen oder austauschen
    • Unternehmen, die 50 % oder mehr ihres Jahresumsatzes aus dem Verkauf von persönlichen Verbraucherinformationen erzielen

    Wenden Sie sich an Ihre Rechtsabteilung, wenn Sie glauben, dass der CCPA für Sie gelten könnte.

  • Wie werden Sie als Kunden den CCPA-Anforderungen gerecht?

    Obwohl AWS Services entwickelt, die von Kunden weltweit zur Verarbeitung von Daten, darunter auch personenbezogenen Daten, genutzt werden, können wir aufgrund einer Vielzahl von Datenschutzregelwerken (siehe unsere Seite zum Datenschutz) unseren Kunden keinen Rat zur Compliance mit gesetzlichen Anforderungen anbieten. Wir empfehlen unseren Kunden, einen eigenen Rechtsbeistand zu konsultieren, um mehr über die beste Compliance-Herangehensweise zu erfahren.

  • Welche Rolle spielt der Kunde beim Sichern seiner Inhalte?

    Unter dem AWS-Modell der gemeinsamen Verantwortung können Kunden auf den technischen und organisatorischen Sicherheitsmaßnahmen und -kontrollen von AWS aufbauen, um ihre eigenen Compliance-Anforderungen unter Kontrolle zu behalten. Die Kundenverantwortung wird von den AWS Cloud-Services bestimmt, die ein Kunde auswählt. Dies bestimmt den Konfigurationsaufwand, den der Kunde als Teil der Sicherheitsverantwortlichkeiten bewältigen muss. Kunden können auf ihnen vertraute Mittel zum Schutz ihrer Daten zurückgreifen. Beispielsweise können Sie neben AWS-Sicherheitsfunktionen wie AWS Identity and Access Management auch Methoden wie Verschlüsselung oder Multifaktor-Authentifizierung verwenden.

    Der Kunde muss bei der Bewertung der Sicherheit einer Cloud-Lösung Folgendes verstehen und dazwischen unterscheiden können:

    • Sicherheitsmaßnahmen, die AWS implementiert und betreibt – „Sicherheit der Cloud“ und
    • Sicherheitsmaßnahmen, die Kunden implementieren und betreiben und die sich auf die Sicherheit ihrer Kundeninhalte und -anwendungen beziehen, für die sie AWS-Services nutzen – „Sicherheit in der Cloud“.
    Shared_Responsibility_Model_V2